二月安全事件总结与回顾: 潜在的攻击者仍然将目光更多的投向Defi项目

创宇区块链安全实验室
前言
    新春二月,知道创宇区块链安全实验室 拓宽了对区块链安全信息收集总结的信息广度,将专注于典型安全事件的视角,拔升到了对整个区块链安全资讯的审视。
    以下是知道创宇区块链安全实验室对二月各类型安全资讯总结的新视角,并就其暴露出的问题进行探讨。
    
    Defi安全类型事件
    
  • 2 月 3 日,跨链桥 Wormhole 被黑客攻击,攻击者通过提供恶意验证程序欺骗 Wormhole 批准虚假签名达到攻击目的,损失超3.2亿美元
  • 2 月 3 日,Defi 协议 KLAYSwap 遭遇黑客攻击,具体原因为外部站点使用了被恶意信息感染的 SDK 文件,损失约180万美元
  • 2 月 5 日,http://Meter.io 跨链协议遭到攻击,漏洞原因为 depositHandler质押处理器存在逻辑判断缺陷,满足了跨链桥合约 depositETH的逻辑场景,但忽视了 deposit 逻辑场景存在绕过缺陷,损失约430万美元
  • 2 月 8 日,以太坊上的DeFi 协议 superfluid 遭遇黑客攻击,黑客通过伪造“ctx”数据欺骗合约对虚假签名进行批准达成攻击,损失超1300万美元
  • 2 月 10 日,DeFi 协议 Dego Finance 遭到黑客攻击,由于私钥泄露导致流动性被耗尽,损失约1762万美元
  • 2 月 14 日,Titano Finance 遭到攻击,管理员地址疑似被盗铸造 3200Titano代币并抛售,损失约1900万美元
  • 2 月 15 日,Build Finance 项目遭遇恶意治理接管,攻击者通过创造低阈值提案,以低于正常水平的投票恶意接管了治理权限,进而铸造了110万Build代币用来耗尽 Build Finance 项目的流动性,损失约110万美元
  • 2 月 23 日,DeFi 收益协议 Flurry Finance 官方发文称,Flurry Finance 出现漏洞,目前已知黑客仅利用了部署在 FinanceRabbit 策略上的资金,其他策略的资金仍然安全。
        

    
    信息安全类型事件
    
  • PayBito 加密货币交易所遭受网络攻击,大量数据信息被盗,其中包含来自全球 约10 万多名客户的个人数据信息。
  • 知名加密媒体 CoinDesk 宣布已修复一个白帽黑客透露的系统漏洞,该漏洞暴露了在 CoinDesk 内容管理系统 (CMS) 中保存为草稿的文章标题,可能允许身份不明的行为者通过API从非公开信息中获利。
  • 知名 IP 阿狸 ALI&HIS FRENS NFT 在预售过程中,官网 debug 模式并未关闭,导致用户能够通过后台代码逻辑访问盲盒对应的元数据以及图片信息。

    
    骗局安全类型事件
    
  • BabyMuskCoin 暴跌99%,1571BNB(约66万美元)被抛出,资金已被转移到 Tornado。该项目团队声称通过 Telegram 被骗,但 Twitter 和网站都已关闭,疑似 Rug Pull。
  • BNB Chain 上去中心化投资平台 Bnb42 发生 Rug Pull,部署者从未经验证的合约中抽走了 6400 多枚 BNB。
  • Raptor2发生Rug Pull,地址0xdaa5e5692f24b0284cbd9fb6fbe2ddc78bf4d34a已经抛售Raptor2并将855枚BNB存入以太坊隐私交易平台Tornado.cash。
  • DollarDodge 项目疑似 Rug Pull,513 枚 BNB 已被转移至 TornadoCash。
  • 代币 W3M 开发者在发行5小时后发起 Rug Pull,近625枚BNB被转移至 TornadoCash。
  • BNB Chain 上项目 Shiba Tron 被爆存在欺诈,为「貔貅盘」骗局。未获取白名单的用户仅能购买其 Token SHIBT,但无法出售。

    
    钓鱼安全类型事件
    
  • NFT项目AOTAVERSE团队表示,北京时间15日凌晨5点,其Discord服务器群组遭到黑客攻击,黑客在其频道上发布了“钓鱼”链接。目前尚未查明哪个机器人遭攻击,因此团队关闭整个Discord群组,以预防进一步的风险。
  • OpenSea 疑似遭到网络钓鱼攻击,大量NFT被窃取并卖出套利。攻击者已将攻击所得部分NFT出售获利后,使用以太坊隐私交易平台Tornado.cash混币1,100ETH,价值约290万美元。
  • OpenSea 再次出现钓鱼邮件攻击,该 NFT 市场已经在社交媒体官方渠道中发出提醒。

    
    其他安全事件类型
    
  • 去中心化衍生品交易平台 FutureSwap 拥有约300,000FST奖励储备金的账户遭到入侵,攻击者能够在 Arbitrum. 上获得访问权限,并将可用奖励FST转移给自己。
  • 稳定币发行商 Tether 冻结了一个持有价值超过 715,000 美元USDT 的以太坊地址。根据 Etherscan 对涉及钱包的交易的标记以及分析,该地址可追溯到近一个月前在跨链桥 Multichain 上窃取 300 万美元加密货币的黑客。
  • Drift Protocol 在 Immunefi 平台发布漏洞赏金计划,赏金最高达50万美元。本次漏洞赏金计划专注于检查智能合约,防止用户本金、收益资金或治理资金被盗窃或冻结。
  • 新美国安全中心(CNAS)的一份报告确认,朝鲜黑客组织 Lazarus Group 利用高级技术进行各种网络犯罪攻击,从中盗取资金和洗钱并以此获利。
  • Immunefi 发布一份关于 Polygon 共识机制的漏洞报告,一位白帽黑客发现Polygon智能合约中PoS系统漏洞。
  • 印度人民党(BJP)全国主席JP Nadda的推特账号在周日被黑客攻击,该账号曾发推呼吁人们为乌克兰人和俄罗斯人捐赠加密货币。

    
    总 结
    从当前区块链安全形势来看,潜在的攻击者仍然将目光更多的投向Defi项目,同时各种区块链诈骗项目与跑路项目层出不穷,知道创宇区块链安全实验室 在此提醒,投资方需要做好投资前的调查准备工作,项目方也需要提高对合约安全的重视,合约审计、风控措施、应急计划等都有必要切实落实。